Hur man exporterar Windows Event logs med PowerShell

Ladda ner Windows Speedup Tool för att åtgärda fel och få datorn att köras snabbare

Windows erbjuder två kommandon som tillåter alla med administratörsbehörighet att exportera Windows Event Logs med PowerShell. Processen är enkel men kan göras på flera sätt med hjälp avGet-WinEventellerGet-EventLogcmdlets, beroende på version av Windows.

Här är de tre kommandona för att extrahera Even-loggar med PowerShell.

  • Använder Get-WinEvent
  • Använder Get-EventLog
  • Använder wevtutil för Raw EVTX-loggar

Du kan köra dessa kommandon på PowerShell eller Windows Terminal.

1] Använda Get-WinEvent

Exportera systemloggen direkt till en .csv-fil:

Get-WinEvent -LogName System | Export-Csv -Path "C:\Log\SystemLog.csv" -NoTypeInformation

Här betyder LogName System loggar genererade för System, och det exporteras i CSV-format.

Om du vill ha loggar från de senaste 24 timmarna i .csv-format:

Get-WinEvent -LogName Application -StartTime (Get-Date).AddDays(-1) | Export-Csv -Path "C:\Logs\ApplicationLastDay.csv" -NoTypeInformation

2] Använda Get-EventLog

Exportera applikationsloggen direkt till en txt-fil:

Get-EventLog -LogName Application | Out-File -FilePath "C:\Log\ApplicationLog.txt"

Här LogName Application: Specificerar. Utdata sparas som vanlig textfil.

Läsa:

3] Använda wevtutil för Raw EVTX-loggar

EVTX-filer ärfiler lagrade i det proprietära .evtx-formatet som används av Windows Event Log-tjänsten. De fungerar som ett arkiv för inspelning av händelser (t.ex. systemhändelser, applikationsfel, säkerhetsgranskningar) som genereras av operativsystemet och installerade applikationer.

wevtutil epl Security "C:\LogsSecurityLog.evtx"

Här står EPL för Export log. Ovanstående kommando skickar ut loggar i deras råa, ursprungliga EVTX-format. Det bästa med att skapa en EVTX-fil är att du kan öppna den direkt i händelsevisaren.

Jag hoppas att detta hjälper.

Hur öppnar man EVTX filer?

EVTX-filer kan öppnas och analyseras med hjälp av flera verktyg. Den vanligaste metoden är genom Event Viewer, en inbyggd Windows-applikation som låter dig se och tolka händelseloggarna. För att komma åt det, tryck på Win + R, skriveventvwr, och öppna alternativet "Öppna sparad logg" för att ladda externa EVTX-filer.

Läsa:

Kan EVTX-filer konverteras till CSV?

EVTX-filer kan konverteras till mer tillgängliga format som CSV eller vanlig text för enklare analys. Du kan användaGet-WinEventcmdlet i PowerShell för att extrahera specifik händelsedata och exportera den till en CSV-fil med WinEvent eller verktyg somEvtx2JsonellerLog Parser.

Get-WinEvent -LogName Application | Export-Csv -Path "C:\Logs\ApplicationLog.csv" -NoTypeInformation

Läsa:.

Related Posts